BlockBeats 消息,4 月 29 日,2026 年 4 月已成为加密行业自 2025 年 2 月 Bybit 被盗 14 亿美元以来损失最严重的单月。据 DeFiLlama 数据,截至 4 月 18 日,短短 18 天内 12 起安全事件共造成超过 6.06 亿美元损失,相当于第一季度总损失的 3.7 倍。4 月 1 日,Solana 生态永续合约协议 Drift Protocol 遭遇 2.85 亿美元攻击。攻击者自 2025 年秋季起通过社交工程渗透团队,在数月内与安全理事会成员建立信任,诱导对方预签多笔看似无害的交易,最终两笔操作、间隔一秒便完成权限转移并抽走流动性。4 月 18 日,以太坊流动性再质押协议 KelpDAO 的 LayerZero 跨链桥被攻破,11.65 万枚 rsETH(约 2.92 亿美元)被盗。攻击者隶属朝鲜 Lazarus Group 的 TraderTraitor 子单元,被盗资金随后存入 Aave 等借贷平台借出约 1.9 亿美元真实资产,导致 Aave 产生超 1.23 亿美元坏账,引发 DeFi 整体 TVL 在 48 小时内蒸发超 130 亿美元。此外,4 月下旬,多个小型协议不断出现安全事故,虽损失资金不大,但行业对于 DeFi 安全性信心已大打折扣。一方面,朝鲜黑客从「技术攻坚」转向「人性渗透」。攻击链从伪造 Zoom 会议链接开始,而 AI 在社交工程中的实战应用也已落地。另一方面,以 Anthropic 新模型 Mythos 为代表的顶级 AI 模型也成为改变攻防天平的新变量。该模型通用代码推理能力跃升,能够自主发现数千个零日漏洞,包括 OpenBSD 中潜伏 27 年的崩溃漏洞,并能将多个低级漏洞串联成完整攻击链。更现实的威胁在于,当前 DeFi 生态中大量代码部署于现代代码推理模型出现之前,攻击者如今可借助 AI 工具以系统化、低成本方式扫描历史遗留配置缺陷,而防御方的 AI 审计工具尚未完成集成。这种攻击者先用 AI,防御者后补票的时间差,构成了当前最危险的窗口期。
